Próbuję skonfigurować usługi IIS 8.5 w systemie Windows 2012 R2, aby nie otrzymywać powiadomienia od Chrome o tym, że witryna używa przestarzałej kryptografii. Poniższy obrazek pochodzi z systemu Mac OS X, ale podobną wiadomość otrzymałem w systemie Windows 8.1, gdzie algorytmem szyfrowania jest AES_256_CBC z wykorzystaniem skrótu SHA1, a wymiana kluczy to ECDHE_RSA. Problem polega na haszowaniu wiadomości SHA1. Google stara się, aby strony używały mieszania wiadomości SHA2. Na komputerze Mac używany algorytm to SHA256 do podpisywania hash, ale problemem jest tutaj modyfikator GCM w szyfrowaniu AES.Naprawianie powiadomienia Chrome o przestarzałym szyfrowaniu w IIS 8.5 i SQL Server 2012
Mam nowy certyfikat, który jest 2048-bitowym certyfikatem RSA obsługującym mieszanie komunikatów SHA256.
Użyłem narzędzia NARTAC IIS Crypto do skonfigurowania serwera IIS. Włączone protokoły to TLS 1.0, TLS 1.1 i TLS 1.2 Szyframi włączone są TripleDES 168, AES 12/128 i AES 256/256. Włączono Hashe: SHA, SHA256, SHA384 i SHA512. Włączone wymiany kluczy to Diffie-Hellman, PKCS i ECDH. SSL Cipher Suites Zamów włączonych apartamentów są:
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521 (tak naprawdę jest to sposób, w najnowszym narzędziu) TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P521 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P521 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
Próbowałem wiele odmian tej konfiguracji, ale nie doprowadziły do miejsca pracy z zawiadomieniem z Chrome ma. Jeśli usuniemy AES 128/128 z Szyfrów Włączonych, wydaje się, że nie ma to żadnego wpływu. Jeśli usuniemy SHA z Hashes Enabled, strona internetowa nie będzie mogła komunikować się z serwerem SQL 2012, który dostarcza usługi danych do witryny. Jeśli usuniemy pakiety szyfrowania SSL oparte na SHA1 z obsługiwanego zamówienia, przeglądarka nie będzie mogła połączyć się z serwerem.
Czy ktoś ma działającą konfigurację systemu Windows IIS 8.5 z programem SQL Server, w którym nie ma powiadomienia Chrome?
Czy wszystkie * pośrednie * certyfikaty w łańcuchu certyfikatów również używają SHA256? Jaki pakiet algorytmów chrome rzeczywiście kończy się na tym, że go używa? – vcsjones
@vcjones nie, 2 z pośrednich certyfikatów to sha384, ale rzeczywistym rootem jest sha1. Wygląda na to, że wybiera on TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256, który jest oparty na sha1. –
Korzenie SHA1 są w porządku. Jakiej wersji serwera SQL używasz? – vcsjones